Compartilhar via


Entender e trabalhar com escopos do Gerenciador de Rede Virtual do Azure

Neste artigo, você aprenderá como os escopos permitem que os grupos de gerenciamento ou as assinaturas usem determinados recursos do Gerenciador de Rede Virtual do Azure. Você também aprenderá sobre o conceito de hierarquia e como ela pode afetar os usuários do Gerenciador de Rede Virtual do Azure.

Recursos do Gerenciador de Rede Virtual

Uma instância do Gerenciador de Rede Virtual do Azure inclui os seguintes recursos:

  • Grupos de rede: um grupo de rede é um contêiner lógico em que você pode aplicar as políticas de configuração da rede.

  • Configurações: o Gerenciador de Rede Virtual do Azure fornece dois tipos de configurações:

    • Use as configurações de conectividade para criar topologias de rede.
    • Use as configurações de segurança para criar uma coleção de regras que você pode aplicar em redes virtuais.
  • Regras: você pode definir regras de segurança de rede que podem permitir ou negar o tráfego no nível global para suas redes virtuais.

Escopo

Um escopo no Gerenciador de Rede Virtual do Azure representa o nível de acesso concedido para gerenciar os recursos. O valor do escopo pode estar no nível do grupo de gerenciamento ou no nível da assinatura. Para saber como gerenciar sua hierarquia de recursos, confira Grupos de gerenciamento do Azure. Quando você seleciona um grupo de gerenciamento como o escopo, todos os recursos filho são incluídos dentro do escopo.

Observação

Não é possível criar várias instâncias do Gerenciador de Rede Virtual do Azure com um escopo sobreposto da mesma hierarquia e com os mesmos recursos selecionados.

Ao especificar um escopo no nível do grupo de gerenciamento, você precisará registrar o provedor de Rede Virtual do Azure no escopo do grupo de gerenciamento antes de implantar uma instância do Gerenciador de Rede Virtual. Esse processo é incluído como parte de criar uma instância do Gerenciador de Rede Virtual no portal do Azure, mas não com métodos programáticos, como a CLI do Azure e o Azure PowerShell. Saiba mais sobre como registrar provedores no escopo do grupo de gerenciamento.

Aplicabilidade de escopo

Quando você implanta configurações, a instância do Gerenciador de Rede Virtual aplica recursos somente a recursos dentro de seu escopo. Se você tentar adicionar um recurso a um grupo de rede fora do escopo, ele será adicionado ao grupo para declarar sua intenção. Mas a instância do Gerenciador de Rede Virtual não aplica as alterações às configurações.

Você pode atualizar o escopo da instância do Gerenciador de Rede Virtual. As atualizações disparam uma reavaliação automática em todo o escopo e potencialmente adicionam recursos com uma adição de escopo ou removem recursos com uma remoção de escopo.

Escopo entre locatários

O escopo de uma instância do Gerenciador de Rede Virtual pode se estender pelos locatários, embora um fluxo de aprovação separado seja necessário para estabelecer esse escopo.

Primeiro, adicione uma intenção para o escopo desejado de dentro da instância do Gerenciador de Rede Virtual usando o recurso Conexão de escopo. Em segundo lugar, adicione uma intenção para o gerenciamento da instância do Gerenciador de Rede Virtual do escopo (assinatura ou grupo de gerenciamento) usando o recurso Conexão do Gerenciador de Rede. Esses recursos contêm um estado para representar se o escopo associado foi adicionado ao escopo da instância do Gerenciador de Rede Virtual.

Recursos

Os recursos são o acesso ao escopo que você permite que o Gerenciador de Rede Virtual do Azure gerencie. Atualmente, o Gerenciador de Rede Virtual do Azure tem dois escopos de recursos: conectividade e administrador de segurança. Você pode habilitar os dois escopos de recurso na mesma instância do Gerenciador de Rede Virtual.

Hierarquia

O Gerenciador de Rede Virtual do Azure permite o gerenciamento dos recursos de rede em uma hierarquia. Uma hierarquia significa que você pode fazer com que várias instâncias do Gerenciador de Rede Virtual do Azure gerenciem os escopos sobrepostos e as configurações em cada Gerenciador de Rede Virtual também possam se sobrepor.

Por exemplo, você pode ter o grupo de gerenciamento de nível superior como o escopo de uma instância do Gerenciador de Rede Virtual e ter um grupo de gerenciamento filho como o escopo de uma instância diferente do Gerenciador de Rede Virtual. Quando você tem um conflito de configuração entre as instâncias do Gerenciador de Rede Virtual que contêm o mesmo recurso, a configuração da instância do Gerenciador de Rede Virtual que tem o escopo mais alto é a que é aplicada.

Próximas etapas